بدافزار درب پشتی EAGLET

جاسوسی سایبری همچنان در حال تکامل است و عوامل تهدید مرتبط با دولت به طور فزاینده‌ای از تاکتیک‌های فریبنده استفاده می‌کنند. یکی از جدیدترین حوادث شامل یک کمپین پیچیده با هدف به خطر انداختن بخش‌های هوافضا و دفاعی روسیه است که از یک در پشتی سفارشی به نام EAGLET برای نظارت مخفیانه و سرقت داده‌ها استفاده می‌کند.

هدف شناسایی شد: هوافضای روسیه تحت محاصره

این کمپین که با نام عملیات CargoTalon شناخته می‌شود، به یک خوشه تهدید با برچسب UNG0901 (گروه ناشناخته ۹۰۱) نسبت داده شده است. این گروه، انجمن تولید هواپیمای ورونژ (VASO)، یک نهاد بزرگ تولید هواپیما در روسیه، را هدف قرار داده است. مهاجمان از تاکتیک‌های فیشینگ هدفمند استفاده می‌کنند که از اسناد «товарно-транспортная накладная» (TTN) سوءاستفاده می‌کند، نوعی فرم حمل بار که برای عملیات لجستیکی در روسیه حیاتی است.

نحوه‌ی وقوع حمله: طعمه‌های مسلح و استقرار بدافزار

زنجیره آلودگی با ایمیل‌های فیشینگ هدفمند آغاز می‌شود که حاوی محتوای جعلی با مضمون تحویل بار هستند. این پیام‌ها شامل آرشیوهای ZIP حاوی یک فایل میانبر ویندوز (LNK) هستند. هنگام اجرا، فایل LNK از PowerShell برای راه‌اندازی یک سند مایکروسافت اکسل فریبنده استفاده می‌کند و همزمان درب پشتی EAGLET DLL را روی سیستم آسیب‌دیده نصب می‌کند.

این سند فریبنده به شرکت اوبل‌ترانترمینال، یک اپراتور ترمینال کانتینری راه‌آهن روسیه، اشاره دارد که در فوریه ۲۰۲۴ توسط دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری ایالات متحده (OFAC) تحریم شده است - اقدامی که احتمالاً با هدف افزودن اعتبار و فوریت به این فریب انجام شده است.

درون EAGLET: قابلیت‌ها و ارتباطات C2

درب پشتی EAGLET یک ابزار نفوذ مخفیانه است که برای جمع‌آوری اطلاعات و دسترسی مداوم طراحی شده است. قابلیت‌های آن عبارتند از:

• جمع‌آوری اطلاعات سیستم
• اتصال به یک سرور C2 با کدنویسی ثابت در آدرس IP 185.225.17.104
• تجزیه پاسخ‌های HTTP برای بازیابی دستورات جهت اجرا

این ایمپلنت دارای دسترسی تعاملی به پوسته است و از عملیات آپلود/دانلود فایل پشتیبانی می‌کند. با این حال، به دلیل وضعیت آفلاین فعلی سرور فرماندهی و کنترل (C2)، تحلیلگران نتوانسته‌اند دامنه کامل بارهای داده احتمالی مرحله بعدی را تعیین کنند.

ارتباط با سایر عوامل تهدید: EAGLET و Head Mare

شواهد نشان می‌دهد که UNG0901 به صورت جداگانه فعالیت نمی‌کند. کمپین‌های مشابهی که از EAGLET استفاده می‌کنند، نهادهای دیگری را در بخش نظامی روسیه هدف قرار داده‌اند. این عملیات‌ها ارتباط با گروه تهدید دیگری به نام Head Mare را نشان می‌دهد که به دلیل تمرکز بر سازمان‌های روسی شناخته می‌شود.

شاخص‌های کلیدی همپوشانی عبارتند از:

• شباهت‌های کد منبع بین مجموعه ابزارهای EAGLET و Head Mare
• قراردادهای نامگذاری مشترک در پیوست‌های فیشینگ

شباهت‌های عملکردی بین EAGLET و PhantomDL، یک درِ پشتی مبتنی بر Go که به خاطر قابلیت‌های پوسته و انتقال فایل خود شناخته می‌شود.

نکات کلیدی: علائم هشدار دهنده و تهدیدهای مداوم

این کمپین، دقت فزاینده عملیات فیشینگ هدفمند، به ویژه آن‌هایی که از فریب‌های مختص دامنه مانند اسناد TTN استفاده می‌کنند را برجسته می‌کند. استفاده از نهادهای تحریم‌شده در فایل‌های جعلی، همراه با بدافزارهای سفارشی مانند EAGLET، روند رو به رشدی را در کمپین‌های جاسوسی بسیار هدفمند با هدف قرار دادن زیرساخت‌های حیاتی نشان می‌دهد.

نشانه‌های سازش و پرچم‌های قرمز که باید مراقب آنها باشید:

• ایمیل‌هایی که به اسناد محموله یا تحویل از نهادهای تحریم‌شده روسی اشاره دارند.
• پیوست‌های ZIP مشکوک حاوی فایل‌های LNK که دستورات PowerShell را اجرا می‌کنند.
• اتصالات خروجی به IP های ناآشنا.

متخصصان امنیت سایبری باید نسبت به تاکتیک‌های در حال تکامل عوامل تهدیدی مانند UNG0901 هوشیار باشند، به خصوص که آنها بخش‌های حساس را با بدافزارهای سفارشی و ابزارهای همپوشانی هدف قرار می‌دهند.